安全測試不僅是合規(guī)性的重要組成部分，而且是整個網(wǎng)站/網(wǎng)絡(luò)應(yīng)用程序安全性的重要組成部分。無論網(wǎng)站安全測試的類型和為此目的選擇的服務(wù)提供商如何，成功的測試都需要做好充分的準(zhǔn)備。安全服務(wù)提供商與組織之間明確的服務(wù)水平協(xié)議是準(zhǔn)備工作的重要組成部分。它為雙方設(shè)定了期望并明確了他們的義務(wù)。在本文中，我們幫助您了解安全測試提供商的協(xié)議中必須包含哪些項目才能實現(xiàn)測試的共同目標(biāo)。

要包含在您的安全測試提供商協(xié)議中的關(guān)鍵項目

請記住，此列表并不全面或詳盡無遺。我們匯總了突出良好安全測試的廣度和深度的重要元素。

測試目標(biāo)

與安全測試服務(wù)提供商的每個 SLA 都必須包含目標(biāo)。目標(biāo)和目的為流程的其余部分定下基調(diào)，包括范圍界定、方法、結(jié)果、許可、定價等。如果在此過程之前沒有建立明確的目標(biāo)和目標(biāo)，組織可能無法收到一組與其風(fēng)險有任何聯(lián)系或相關(guān)性的漏洞。

安全測試范圍

測試范圍告訴測試人員可以包括什么，不能包括什么。通過為滲透測試定義一個明確的范圍，組織可以確保未包含在該范圍內(nèi)的系統(tǒng)和服務(wù)不會被測試人員觸及。鑒于所涉及的成本和工作量，并非每個組件和系統(tǒng)都可以包含在網(wǎng)站安全測試中。此外，安全滲透測試可能導(dǎo)致意外停機(jī)，組織必須為此做好準(zhǔn)備。這使得測試范圍變得更加重要。

雙方的義務(wù)

該協(xié)議必須包括應(yīng)用程序安全測試服務(wù)提供商和雇用其服務(wù)的組織的義務(wù)。雖然 SLA 中提到了組織的付款條件和財務(wù)義務(wù)，但包含服務(wù)提供商關(guān)于測試可能結(jié)果的最終交付聲明至關(guān)重要。

安全測試服務(wù)商資質(zhì)及認(rèn)證

合格、經(jīng)驗豐富且稱職的安全測試提供商將報告所有漏洞，提供修復(fù)安全漏洞的建議，并對組織的系統(tǒng)采取更溫和的態(tài)度。CREST、OSP、CEH等認(rèn)證表明了測試人員的技術(shù)能力和方法水平。

測試方法、過程和使用的工具

雙方必須討論如何進(jìn)行測試，以及用于測試的方法和工具。過程、方法和工具必須事先以書面形式商定。為什么這很重要？并非所有測試工具和方法都是合法的。開源工具可能是惡意的，可能會將掃描結(jié)果發(fā)送給惡意的第三方，暴露機(jī)密信息或讓他們訪問組織的系統(tǒng)和網(wǎng)絡(luò)。這可能會對組織造成重大傷害。

保密條款

確保在與安全測試服務(wù)提供商的 SLA 中包含保密條款。組織最不希望看到的是他們的機(jī)密信息、測試結(jié)果或系統(tǒng)信息被滲透測試人員無意或有意地暴露。滲透測試人員可能正在使用他們希望保密的專有技術(shù)、工具或報告格式。在這種情況下，雙方可以交換一份共同的保密協(xié)議 (NDA)

權(quán)限和憑證

如果需要為安全測試人員提供該過程的憑據(jù)，則必須以安全和加密的方式進(jìn)行。要提供哪些憑據(jù)以及如何包含在 SLA 中的詳細(xì)信息。鑒于在未經(jīng)書面許可的情況下執(zhí)行安全測試是一種刑事犯罪，因此將許可包含在合同中至關(guān)重要。例如，未經(jīng)第三方書面許可，測試人員不得將第三方服務(wù)納入范圍。如果他們這樣做，他們將不得不面臨法律指控。

測試報告

應(yīng)用程序安全測試服務(wù)提供商必須為組織提供一份詳細(xì)的報告，突出顯示影響應(yīng)用程序的可用性、機(jī)密性和完整性的所有漏洞、缺陷和錯誤配置。這必須得到 POC 的支持，確認(rèn)漏洞的存在以及如何重現(xiàn)這些漏洞。該報告必須包括有助于補(bǔ)救調(diào)查結(jié)果的建議。一份好的報告必須包括一個執(zhí)行摘要部分，以非技術(shù)語言描述調(diào)查結(jié)果。這有助于最高管理層根據(jù)調(diào)查結(jié)果做出關(guān)鍵決策，以加強(qiáng)安全態(tài)勢。

結(jié)論

與安全測試提供商的明確定義和全面的 SLA使組織和服務(wù)提供商能夠理解并遵守他們的義務(wù)。它為高質(zhì)量測試奠定了基礎(chǔ)，可幫助組織加強(qiáng)其安全態(tài)勢。